安全態勢感知平臺]輿情監測顯示,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊,轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。據DODO官方回復目前團隊正在進行調查。
原文鏈接如下:
https://www.odaily.com/newsflashes/235047.html
N.Fans 9月23日20:00將在DODO開啟流動性池:據官方消息,N.Fans將于9月23日20:00 在DODO上開啟流動性池。目前N.Fans自營NFT平臺開發完成,首款游戲進入最終測試階段。將于9月底開啟N.Fans平臺公測以及首款游戲“忍者奪寶聯盟”公測。
據悉,N.Fans致力于打造一個知名動漫IP+GameFi的元宇宙世界。
N.Fans平臺集明星影視、知名動漫、游戲等內容,利用智能合約技術構建集IP、產品、數字權益于一體的版權,為流行、娛樂等亞文化實現非同質通證化,并服務粉絲、幫助粉絲的NFT進行流通、確權行權等,以此構建一個面向全球參與者的聚合交易平臺。[2021/9/23 17:01:20]
△圖1
DODO投票通過“將DODO代幣遷移至Arbitrum主網用于激勵治理”的提案:去中心化交易平臺DODO在推特上表示,有關“將500萬枚DODO代幣遷移到Arbitrum主網用于激勵治理”的DIP-4提案已獲投票通過。[2021/7/17 0:59:09]
成都鏈安安全團隊第一時間針對該事件啟動安全應急響應,并將事件細節分析進行梳理,以供參考。其實,該事件本身來說并不復雜,其攻擊流程也非常簡單。但因該事件涉及到“閃電貸”“重入攻擊”等熱門話題,因此成都鏈安認為有必要對該事件進行發聲。
SafePal Wallet宣布支持DODO DApp和DODO代幣:4月27日消息,加密硬件錢包SafePal Wallet宣布其應用iSafePal支持DODO DApp和DODO代幣。[2021/4/27 21:03:09]
二、事件分析
該事件的攻擊原因主要在于合約的init函數未進行限制,從而導致攻擊者有權利進行調用,如圖2所示:
△圖2
經分析,攻擊者利用了DODO合約中提供的閃電貸工具,首先向合約轉移了兩種空氣幣。緊接著,發起了一筆閃電貸交易。在交易結束之前,調用合約的init函數將幣種指向空氣幣,從而躲過了閃電貸的歸還校驗,如圖3所示。
三、安全建議
成都鏈安安全團隊認為,本起事件并不復雜,但值得敲響警鐘,引起廣大項目方的注意。具體而言,首先是DODO的閃電貸函數是進行了重入校驗的,但由于init函數并沒有添加重入校驗,所以導致了類似重入攻擊的發生。
另外,結合成都鏈安審計團隊以往對項目方的安全審計經驗,由于目前代碼的復雜度越來越高,模塊化也隨之越來越多,有許多項目方雖然都使用了init函數進行管理,但需要提醒的是,init函數在solidity中也僅僅只是一個普通函數,在此呼吁廣大項目方與開發者引起重視。切記,不要誤以為取名為“init”,就只能進行一次調用。
同時,我們建議,在日常的安全防護中,項目方也需要做好事無巨細的安全加固工作;通過借助第三方安全公司的專業力量,采用“形式化驗證與人工審核”結合的復合式審計方法,方能實現對項目面面俱到的全方位護航。
親愛的用戶:幣安創新區將于2021年03月09日16:00上線Marlin,并開放POND/BTC、POND/BUSD、POND/USDT交易對,POND充值通道現已開放.
1900/1/1 0:00:00Gate.io已上線“Startup上線通道”,為給優質初創項目提供更為快捷的上幣通道,和給予用戶提供早期投資機會.
1900/1/1 0:00:00尊敬的社區用戶: 鹿網杠桿ETF產品7x24小時交易,并且市場波動較大,本著對市場影響最小原則,在不影響用戶體驗的情況下,我們按次數最少化原則對ETF份額進行合并操作.
1900/1/1 0:00:00埃塞克斯大學的科學家創造了一種COVID-19篩查工具,該工具可以通過分析人的咳嗽聲來準確診斷該病.
1900/1/1 0:00:00寧做一日雄獅,不做百日綿羊。我還是很喜歡博弈,像風走了八百里,不問歸期。你還是很喜歡墨守成規,像機遇重復再出現,從不求緣由.
1900/1/1 0:00:002021年2月這段時間幣價的上漲新增算力每T需要質押幣9.4個FIL,GAS費4-6個FIL,按照質押幣9.4+5個gas費=14.5×260元=約3800元/T的基本幣價成本.
1900/1/1 0:00:00